纵观防毒技术二十年的发展,就会发现传统的代码比对技术多年来一直走的是解毒路线,即只有当部分用户中毒并反馈后,杀毒企业才能解码防护。但是在Web威胁成为真正主要的安全隐患之后,大量且具有针对性的隐秘式攻击使得解毒的方式防不胜防,同时,特征码的激增大大影响了客户端的负载。而云安全的核心在于超越了客户端拦截Web威胁的传统方法,转而借助威胁信息汇总的全球网络,在Web威胁到达网络或计算机之前即可对其予以拦截,真正做到了防毒而非解毒。这样客户端就不用忙于下载各种特征库了,云结构就是一个大型的CS架构。云安全通过把大多数特征码文件保存到互联网云数据库中,并令其在客户端保持最低数量,使得在Web威胁、电子邮件威胁和文件威胁到达最终用户或公司网络之前对其予以拦截。通过推出在云中的快速实时安全状态“检测”,这种方式降低了对端点上下载传统特征码文件的依赖性,同时减少了与在公司范围内部署特征码有关的成本和管理费用。3云安全核心要素3.1Web信誉服务借助全球信誉数据库,云安全可以按照恶意软件行为分析所发现的网站页面、历史位置变化和可疑活动迹象等因素来指定信誉分数,从而追踪网页的可信度。然后将通过该技术继续扫描网站并防止用户访问被感染的网站。为了提高准确性、降低误报率,安全厂商还为网站的特定网页或链接指定了信誉分值,而不是对整个网站进行分类或拦截,因为通常合法网站只有一部分受到攻击,而信誉可以随时间而不断变化。通过信誉分值的比对,就可以知道某个网站潜在的风险级别。当用户访问具有潜在风险的网站时,就可以及时获得系统提醒或阻止,从而帮助用户快速地确认目标网站的安全性。通过Web信誉服务,可以防范恶意程序源头。由于对零日攻击的防范是基于网站的可信程度而不是真正的内容,因此能有效预防恶意软件的初始下载,用户进入网络前就能够获得防护能力。#page#}3.2电子邮件信誉服务电子邮件信誉服务按照已知垃圾邮件来源的信誉数据库检查IP地址,同时利用可以实时评估电子邮件发送者信誉的动态服务对IP地址进行验证。信誉评分通过对IP地址的“行为”、“活动范围”以及以前的历史进行不断的分析而加以细化。按照发送者的IP地址,恶意电子邮件在云中即被拦截,从而防止僵尸或僵尸网络等Web威胁到达网络或用户的计算机。3.3文件信誉服务文件信誉服务技术,它可以检查位于端点、服务器或网关处的每个文件的信誉。检查的依据包括已知的良性文件清单和已知的恶性文件清单,即现在所谓的防病毒特征码。高性能的内容分发网络和本地缓冲服务器将确保在检查过程中使延迟时间降到最低。由于恶意信息被保存在云中,因此可以立即到达网络中的所有用户。而且,和占用端点空间的传统防病毒特征码文件下载相比,这种方法降低了端点内存和系统消耗。3.4行为关联分析技术通过行为分析的“相关性技术”可以把威胁活动综合联系起来,确定其是否属于恶意行为。Web威胁的单一活动似乎没有什么害处,但是如果同时进行多项活动,那么就可能会导致恶意结果。因此需要按照启发式观点来判断是否实际存在威胁,可以检查潜在威胁不同组件之间的相互关系。通过把威胁的不同部分关联起来并不断更新其威胁数据库,即能够实时做出响应,针对电子邮件和Web威胁提供及时、自动的保护。3.5自动反馈机制云安全的另一个重要组件就是自动反馈机制,以双向更新流方式在威胁研究中心和技术人员之间实现不间断通信。通过检查单个客户的路由信誉来确定各种新型威胁。例如:趋势科技的全球自动反馈机制的功能很像现在很多社区采用的“邻里监督”方式,实现实时探测和及时的“共同智能”保护,将有助于确立全面的最新威胁指数。单个客户常规信誉检查发现的每种新威胁都会自动更新趋势科技位于全球各地的所有威胁数据库,防止以后的客户遇到已经发现的威胁。由于威胁资料将按照通信源的信誉而非具体的通信内容收集,因此不存在延迟问题,而客户的个人或商业信息的私密性也得到保护。#page#}3.6威胁信息汇总安全公司综合应用各种技术和数据收集方式———包括“蜜罐”、网络爬行器、客户和合作伙伴内容提交、反馈回路。通过云安全中的恶意软件数据库、服务和支持中心对威胁数据进行分析。7×24小时的全天候威胁监控和攻击防御,以探测、预防并清除攻击。3.7白名单技术作为一种核心技术,白名单与黑名单(病毒特征码技术实际上采用的是黑名单技术思路)并无多大区别,区别仅在于规模不同。AVTest.org的近期恶意样本(BadFiles,坏文件)包括了约1200万种不同的样本。即使近期该数量显著增加,但坏文件的数量也仍然少于好文件(GoodFiles)。商业白名单的样本超过1亿,有些人预计这一数字高达5亿。因此要逐一追踪现在全球存在的所有好文件无疑是一项巨大的工作,可能无法由一个公司独立完成。作为一种核心技术,现在的白名单主要被用于降低误报率。例如,黑名单中也许存在着实际上并无恶意的特征码。因此防病毒特征数据库将会按照内部或商用白名单进行定期检查,趋势科技和熊猫目前也是定期执行这项工作。云安全先进在何处?云安全是一群探针的结果上报、专业处理结果的分享,云安全好处是理论上可以把病毒的传播范围控制在一定区域内!和探针的数量、存活、及病毒处理的速度有关。传统的上报是人为的手动的,而云安全是系统内自动快捷几秒钟内就完成的,这一种上报是最及时的,人工上报就做不到这一点。理想状态下,从一个盗号木马从攻击某台电脑,到整个“云安全”(CloudSecurity)网络对其拥有免疫、查杀能力,仅需几秒的时间。云安全思想的来源云安全技术是P2P技术、网格技术、云计算技术等分布式计算技术混合发展、自然演化的结果。360使用国际最先进云安全技术,在360云安全计算中心(云端)建立了存储数亿个木马病毒样本的黑名单数据库和已经被证明是安全文件的白名单数据库。360系列产品利用互联网,通过连网查询技术,把对您电脑里的文件扫描检测从客户端转到云端(服务器端),能够极大地提高对木马病毒查杀和防护的及时性、有效性。同时,90%以上的安全检测计算由云端服务器承担,从而降低了您电脑的CPU和内存等资源占用,使您电脑变快。对可执行的程序、可自启动的文件进行连网检测。可执行程序按功能可分为三种:系统自身程序,您安装的软件和木马病毒。对于可疑的可执行程序(即可以运行的程序和会被其他程序调用的文件),360会在征得您的同意后,上报给360安全中心作为样本进行分析,具体请查看可疑文件样本上报。云安全中心木马病毒库和白名单库比对检测的文件,全部是可执行的程序文件。连网检测的文件不包含您的文档、图表、照片、视频或者其他与您隐私相关的非程序文件和信息(如:姓名、电话、住址、E-mail、帐号信息)。电脑连网比对检测的文件信息,仅包括文件名、文件路径、文件发行属性包括版本、产品名称、签名者、文件运行参数属性和文件指纹。文件指纹是使用国际公开的MD5文件信息摘要算法算出的一个32位的编码,比如加载驱动、安装插件等进行连网检测。以下仅以举例的目的,如果加载的驱动经过服务端查询是危险的,那么360客户端将进行拦截;如果安装的插件经过服务端查询是未知的,那么客户端会提示您注意风险等。云安全防御需要分析文件运行参数属性?文件运行参数属性:当一个文件开始运行时,程序可以接受参数属性,木马作者可以利用参数属性来控制特定程序的功能与运行逻辑,所以首选的目标即是系统程序或是白名单内的程序。木马作者利用系统程序和白名单程序的目的:1)绕过系统防火墙,可以直接访问网络2)绕过过于依赖白名单的安全防御软件3)绕过过于依赖黑名单的安全防御软件木马如何利用白程序和参数属性来进行恶意行为:1)木马可以运行一个恶意脚本文件BAT/VBS去修改您主页,桌面图标等2)利用系统rundll32.exe程序加载恶意DLL3)利用系统或第三方程序来实现下载木马或修改系统配置的功能可疑文件样本是指:既不在木马病毒库中,又不白名单库中,且具有一定风险的可执行文件样本。可疑文件中,绝大多数是未知的木马和病毒,对您的电脑会造成极大的安全威胁。在查杀木马病毒时,把文件信息提交给云安全中心,通过对比木马病毒库和白名单库后返回文件危险级别的结果,并且不占用本机的资源。如果是木马病毒,将予以清除;如果是正常文件,将予以放行;如果是可疑文件,将给出终止运行或隔离。和依赖本地特征库的杀毒引擎不同,360公司运用了自主创新的云安全技术,将用户电脑上的客户端软件与360云安全数据中心服务器协同起来,共同工作,并且利用云计算技术和360公司服务器上海量的文件知识库,360公司的安全产品能够最全面、快速地查杀最新木马、未知木马等恶意程序,解决了传统杀毒软件滞后于木马病毒、资源占用庞大的问题。360云查杀引擎包含多项创新技术,例如可信文件审计技术,能够与服务器端的黑白名单进行对比,使用户无需升级特征库也能高效查杀木马;同时,360云查杀引擎针对系统敏感位置和木马经常感染利用的软件,采用“非白即黑”的机制。也就是说,只要是一个不在可信文件白名单中的陌生程序,360云查杀引擎就会控制它的敏感操作和资源使用权限,使其无法自动运行,革命性地提升了安全软件对于新木马、未知木马的查杀能力。在计算机安全中,黑名单只是一种防止已经恶意程序运行或者防止已知垃圾邮件发送者和其他不受欢迎的发件人向用户发送邮件的简单有效的方法,更新黑名单可以快速通过更新服务器来实现,大多数防病毒程序使用的是黑名单技术来阻止已知威胁,垃圾邮件过滤器往往需要依赖于黑名单技术。黑名单技术只在某些应用中能够发挥良好作用,当然前提是黑名单内容准确性和完整性。基于黑名单技术的垃圾邮件过滤的一个共同问题是对合法发件人的阻止。黑名单的另一个问题就是,它只能抵御已知的有害的程序和发送者,不能够抵御新威胁(零日攻击等),对进入网络的流量进行扫描并将其与黑名单对比还可能浪费相当多的资源以及降低网络流量。白名单技术的宗旨是不阻止某些特定的事物,它采取了与黑名单相反的做法,利用一份“已知为良好”的实体(程序、电子邮件地址、域名、网址)名单,以下是白名单技术的优点:没有必要运行必须不断更新的防病毒软件,任何不在名单上的事物将被阻止运行;系统能够免受零日攻击。用户不能够运行不在名单上的未经授权的程序,所以你不必担心用户有意或无意的安装可执行的有害程序,浪费时间的个人程序(例如游戏和P2P程序),或者未经授权的软件,商业组织通常仅使用数量有限的应用程序,因为很多应用程序是被多个用户所使用的。当运行文件的时候,只需要检查核对白名单即可,这比病毒签名黑名单占用更小的数据库。